在上次因为线路故障将 VPS 从 Tokyo 迁移到 Fremont 之前,服务器曾连续多天受到攻击。在 Fremont 机房的几个月都未曾受到攻击——至少未受到可察觉地攻击。可是前几天刚迁移回 Tokyo 数据中心,今天就发现受到了攻击,虽然程度较小。所以,是不是说服务器在美国相对安全,而在日本则易受攻击呢?
可是,这次攻击主要来自美国的一个 IP:207.241.237.23。另外还有个中国移动的 IP:111.13.8.64,只是无法确定是攻击还是恶意扫站。
简单介绍一下前面一个 IP 的行为吧,因为我有个大大的疑问,希望看到的朋友能帮忙解释一下。
上午发现流量异常增加几倍之后我就远程登录 VPS 查看什么情况。netstat 显示的信息是 207.241.237.23 持续保持了多个连接,一直处于 TIME_WAIT 状态。可是 tcpdump 中无法找到该 IP 的连接信息,另外,网站访问日志里也是没有该 IP 的记录的。这至少可以确定为攻击了吧。
稀奇的是,为了避免无谓的流量等资源消耗,我想通过 iptables 禁止与该 IP 的一切通信,简单的增加针对该 IP 的 DROP 项,都放在 iptables 和 ip6tables 的 INPUT chain 的第 1 条的位置,可是没能阻止通信。然后我重起 Apache 服务、网络服务,都无法切断与它的连接。后来,我干脆保存 iptables 配置后重起 VPS。然而,重新上线后没多大会儿该 IP 的连接又出现了。然后,我想可能还要在 OUTPUT 和 FORWARD chain 中都阻止它吧,可是貌似也不行。
所以我非常纳闷儿,不知道是个什么情况。我对底层的东西了解有限,也许有人可以查出更多的信息,还请提供一些参考。
顺便鄙视一下热衷于搞破坏的那些人吧,如果有机会,我希望把他们从人类的种属里抹去。
2012.10.27 更新
今天看到 Solidot 上有人贴出一份关于北美亚洲网络遭遇严重问题的陈述:根据互联网流量报告,北美和亚洲的网络遭遇到严重问题:北美网络平均丢包率达到32%,亚洲网络平均丢包率33%,欧洲大洋洲和南美洲网络正常。网络问题导致Google App Engine、Tumblr和Dropbox等服务下线。目前不清楚故障原因,但云服务商Akami报告网络攻击流量比平常高出50%。
可见网络攻击和垃圾信息给我们的互联网生活带来了多么恶劣的影响。©
本文发表于水景一页。永久链接:<http://cnzhx.net/blog/vps-been-attacked-again/>。转载请保留此信息及相应链接。
我希望把他们从人类的种属里抹去。——恨死了,哈哈哈。
实在是被这帮人气死了,他们都不知道去干点儿正经事。
引用通告: 关于昨天网站被 Google 警告危险的更新 | 水景一页